Giza と Arma のユーザーは、発生したサプライ チェーン攻撃から保護されます。 何が起こったのか:攻撃者は、暗号通貨Webサイトで一般的に使用されているいくつかの広く使用されているnpmパッケージ(simple-swizzle、chalk、ansi-regexを含む)を侵害しました。ユーザーが影響を受けるサイトとやり取りすると、悪意のあるコードが正規のトランザクションを攻撃者が制御するウォレットにリダイレクトする可能性があります。 ARMA エージェント ユーザーが保護され続ける理由: 脆弱な依存関係ゼロ: セキュリティ監査により、コードベース内の侵害された 17 のパッケージのいずれも利用されていないことが確認されました。 固定された依存関係: pnpm-lock.yaml を維持して、すべての依存関係を正確なバージョンにロックします。新しいデプロイであっても、検証済みの安全なパッケージ バージョンを引き続き使用します。 最小限の攻撃対象領域: 100+ の依存関係を持つ一般的な暗号プロジェクトとは異なり、信頼できるソースからの慎重に精査された 17 のパッケージのみを利用しています。 動的依存関係なし: 実行時にパッケージを動的にダウンロードまたは更新することはありません。すべての依存関係は、ビルドプロセス中にロックされ、監査されます。 セルフカストディアル アーキテクチャ: セッション キーを備えた当社のスマート アカウントは、すべての潜在的なアクションにオンチェーン境界を適用し、悪意のあるコードが存在する場合でも達成できることを本質的に制限します。 評価: この攻撃は、侵害以降にアップデートをプッシュした侵害されたパッケージを使用する Web サイトに影響を与える可能性がありますが、ARMA エージェントはこの脆弱性から完全に隔離されたままです。当社の依存関係管理プラクティスは、影響を受けるプロジェクトが侵害されたパッケージを修復する間、継続的な安全な運用を保証します。 ARMA Agentを介したすべてのユーザー資金と取引は安全に保たれます。